ProHoster > Blog > administratë > Check Point Gaia R80.40. Cfare ka te re?

Check Point Gaia R80.40. Cfare ka te re?

Check Point Gaia R80.40. Cfare ka te re?

Lëshimi i radhës i sistemit operativ po afrohet Gaia R80.40. Disa jave me pare Programi Early Access filloi, ku mund të hyni për të testuar shpërndarjen. Si zakonisht, ne publikojmë informacione rreth asaj që ka të re, dhe gjithashtu theksojmë pikat që janë më interesante nga këndvështrimi ynë. Duke parë përpara, mund të them se risitë janë vërtet domethënëse. Prandaj, ia vlen të përgatiteni për një procedurë të hershme të përditësimit. Më parë ne kemi tashmë botoi një artikull se si ta bëni këtë (për më shumë informacion, ju lutemi vizitoni kontaktoni këtu). Le të kalojmë te tema...

Cfare ka te re

Le të shohim risitë e shpallura zyrtarisht këtu. Informacioni i marrë nga faqja Kontrollo Mates (komuniteti zyrtar i Check Point). Me lejen tuaj nuk do ta përkthej këtë tekst, fatmirësisht publiku i Habrit e lejon. Në vend të kësaj, unë do të lë komentet e mia për kapitullin tjetër.

1. Siguria IoT. Karakteristika të reja në lidhje me Internetin e Gjërave

  • Mblidhni pajisje IoT dhe atribute trafiku nga motorët e certifikuar të zbulimit të IoT (aktualisht mbështet Medigate, CyberMDX, Cynerio, Claroty, Indegy, SAM dhe Armis).
  • Konfiguro një shtresë të re politikash të dedikuar për IoT në menaxhimin e politikave.
  • Konfiguro dhe menaxho rregullat e sigurisë që bazohen në atributet e pajisjeve IoT.

2. Inspektimi TLSHTTP/2:

  • HTTP/2 është një përditësim i protokollit HTTP. Përditësimi ofron përmirësime në shpejtësinë, efikasitetin dhe sigurinë dhe rezulton me një përvojë më të mirë të përdoruesit.
  • Porta e Sigurisë e Check Point-it tani mbështet HTTP/2 dhe përfiton shpejtësi dhe efikasitet më të mirë duke marrë siguri të plotë, me të gjitha thikat e Parandalimit të Kërcënimeve dhe Kontrollit të Qasjes, si dhe mbrojtje të reja për protokollin HTTP/2.
  • Mbështetja është për trafikun e pastër dhe të koduar SSL dhe është plotësisht i integruar me HTTPS/TLS
  • Aftësitë e inspektimit.

Shtresa e Inspektimit TLS. Inovacionet në lidhje me inspektimin HTTPS:

  • Një shtresë e re e politikave në SmartConsole kushtuar Inspektimit TLS.
  • Shtresa të ndryshme të inspektimit TLS mund të përdoren në paketa të ndryshme politikash.
  • Ndarja e një shtrese Inspektimi TLS nëpër paketa të shumta politikash.
  • API për operacionet TLS.

3. Parandalimi i Kërcënimeve

  • Rritja e përgjithshme e efikasitetit për proceset dhe përditësimet e Parandalimit të Kërcënimeve.
  • Përditësimet automatike në Motorin e Nxjerrjes së Kërcënimit.
  • Objektet dinamike, domeni dhe të përditësueshëm tani mund të përdoren në politikat e parandalimit të kërcënimeve dhe inspektimit TLS. Objektet e përditësueshme janë objekte rrjeti që përfaqësojnë një shërbim të jashtëm ose një listë të njohur dinamike të adresave IP, për shembull - Adresat IP të Office365 / Google / Azure / AWS dhe objektet Geo.
  • Anti-Virus tani përdor indikacione kërcënimi SHA-1 dhe SHA-256 për të bllokuar skedarët bazuar në hash-et e tyre. Importoni treguesit e rinj nga pamja e Treguesve të Kërcënimit të SmartConsole ose CLI Furnizimi i personalizuar i inteligjencës.
  • Anti-Virus dhe SandBlast Threat Emulation tani mbështesin inspektimin e trafikut të e-mail mbi protokollin POP3, si dhe inspektimin e përmirësuar të trafikut të e-mail mbi protokollin IMAP.
  • Anti-Virus dhe SandBlast Threat Emulation tani përdorin veçorinë e sapo prezantuar të inspektimit SSH për të inspektuar skedarët e transferuar mbi protokollet SCP dhe SFTP.
  • Anti-Virus dhe SandBlast Threat Emulation tani ofrojnë një mbështetje të përmirësuar për inspektimin SMBv3 (3.0, 3.0.2, 3.1.1), i cili përfshin inspektimin e lidhjeve me shumë kanale. Check Point është tani i vetmi shitës që mbështet inspektimin e një transferimi skedar përmes kanaleve të shumta (një funksion që është i parazgjedhur në të gjitha mjediset e Windows). Kjo i lejon klientët të qëndrojnë të sigurt ndërsa punojnë me këtë veçori të rritjes së performancës.

4. Ndërgjegjësimi i identitetit

  • Mbështetje për integrimin e Portalit Captive me SAML 2.0 dhe Ofruesit e Identitetit të palëve të treta.
  • Mbështetje për ndërmjetësin e identitetit për ndarjen e shkallëzuar dhe të grimcuar të informacionit të identitetit ndërmjet PDP-ve, si dhe për ndarjen e domeneve.
  • Përmirësime të agjentit të serverëve të terminalit për shkallëzim dhe përputhshmëri më të mirë.

5. IPsec VPN

  • Konfiguro domene të ndryshme të enkriptimit VPN në një portë sigurie që është anëtare e shumë komuniteteve VPN. Kjo siguron:
  • Privatësia e përmirësuar — Rrjetet e brendshme nuk zbulohen në negociatat e protokollit IKE.
  • Siguria dhe shkalla e përmirësuar — Përcaktoni se cilat rrjete janë të aksesueshme në një komunitet të caktuar VPN.
  • Ndërveprueshmëri e përmirësuar — Përkufizime të thjeshtuara të VPN të bazuara në rrugë (rekomandohet kur punoni me një domen bosh enkriptimi VPN).
  • Krijoni dhe punoni pa probleme me një mjedis VPN në shkallë të gjerë (LSV) me ndihmën e profileve LSV.

6. Filtrimi i URL-së

  • Përmirësimi i shkallëzueshmërisë dhe elasticitetit.
  • Aftësi të zgjeruara për zgjidhjen e problemeve.

7.NAT

  • Mekanizmi i përmirësuar i shpërndarjes së portit NAT — në Portat e Sigurisë me 6 ose më shumë raste të Firewall-it CoreXL, të gjitha rastet përdorin të njëjtin grup portash NAT, i cili optimizon përdorimin dhe ripërdorimin e portit.
  • Monitorimi i përdorimit të portit NAT në CPView dhe me SNMP.

8. Voice over IP (VoIP)Instanca të shumta CoreXL Firewall trajtojnë protokollin SIP për të përmirësuar performancën.

9. VPN me akses në distancëPërdorni certifikatën e makinerisë për të dalluar midis aktiveve të korporatës dhe jokorporatës dhe për të vendosur një politikë që zbaton përdorimin vetëm të aktiveve të korporatës. Zbatimi mund të jetë para-identifikimi (vetëm vërtetimi i pajisjes) ose pas-identifikimi (autentikimi i pajisjes dhe përdoruesit).

10. Agjenti i portalit të aksesit në celularSiguria e përmirësuar e pikës së fundit sipas kërkesës brenda Agjentit të Portalit të Access Mobile për të mbështetur të gjithë shfletuesit kryesorë të uebit. Për më shumë informacion, shihni sk113410.

11.CoreXL dhe Multi-Queue

  • Mbështetje për shpërndarjen automatike të rasteve CoreXL SND dhe Firewall që nuk kërkojnë një rindezje të Portës së Sigurisë.
  • Përvoja e përmirësuar jashtë kutisë — Porta e sigurisë ndryshon automatikisht numrin e rasteve CoreXL SND dhe Firewall dhe konfigurimin Multi-Queue bazuar në ngarkesën aktuale të trafikut.

12. Grumbullimi

  • Mbështetje për Protokollin e Kontrollit të Clusterit në modalitetin Unicast që eliminon nevojën për CCP

Mënyrat e transmetimit ose të shumëfishtë:

  • Kriptimi i Protokollit të Kontrollit të Clusterit tani është aktivizuar si parazgjedhje.
  • Modaliteti i ri ClusterXL -Active/Active, i cili mbështet Cluster Anëtarët në vende të ndryshme gjeografike që ndodhen në nënrrjeta të ndryshme dhe kanë adresa IP të ndryshme.
  • Mbështetje për anëtarët e ClusterXL Cluster që ekzekutojnë versione të ndryshme të softuerit.
  • Eliminohet nevoja për konfigurim MAC Magic kur disa grupe janë të lidhura me të njëjtin nënrrjet.

13. VSX

  • Mbështetje për përmirësimin e VSX me CPUSE në Portalin Gaia.
  • Mbështetje për modalitetin Active Up në VSLS.
  • Mbështetje për raportet statistikore CPView për çdo Sistem Virtual

14. Zero prekjeNjë proces i thjeshtë konfigurimi Plug & Play për instalimin e një pajisjeje — duke eliminuar nevojën për ekspertizë teknike dhe që duhet të lidheni me pajisjen për konfigurimin fillestar.

15. Gaia REST APIGaia REST API ofron një mënyrë të re për të lexuar dhe dërguar informacione te serverët që ekzekutojnë Sistemin Operativ Gaia. Shihni sk143612.

16. Drejtimi i avancuar

  • Përmirësimet në OSPF dhe BGP lejojnë rivendosjen dhe rinisjen e OSPF fqinje për çdo instancë CoreXL Firewall pa pasur nevojë të rinisni demonin e drejtuar.
  • Përmirësimi i rifreskimit të rrugës për trajtimin e përmirësuar të mospërputhjeve të rrugëtimit BGP.

17. Aftësitë e reja të kernelit

  • Kernel i përditësuar Linux
  • Sistemi i ri i ndarjes (gpt):
  • Mbështet më shumë se 2 TB disqe fizike/logjike
  • Sistemi më i shpejtë i skedarëve (xfs)
  • Mbështetja e ruajtjes më të madhe të sistemit (deri në 48 TB të testuar)
  • Përmirësime të performancës lidhur me I/O
  • Me shumë radhë:
  • Mbështetje e plotë e Gaia Clish për komandat Multi-Queue
  • Konfigurimi automatik "ndizet sipas parazgjedhjes".
  • Mbështetje për montimin SMB v2/3 në blade Mobile Access
  • Mbështetje e shtuar NFSv4 (klient) (NFS v4.2 është versioni i parazgjedhur NFS i përdorur)
  • Mbështetje e mjeteve të reja të sistemit për korrigjimin, monitorimin dhe konfigurimin e sistemit

18. Kontrolluesi i CloudGuard

  • Përmirësime të performancës për lidhjet me qendrat e jashtme të të dhënave.
  • Integrimi me VMware NSX-T.
  • Mbështetje për komanda shtesë API për të krijuar dhe modifikuar objektet e serverit të qendrës së të dhënave.

19. Server me shumë domene

  • Bëni kopje rezervë dhe rivendosni një server individual të menaxhimit të domenit në një server me shumë domene.
  • Migroni një server të menaxhimit të domenit në një server me shumë domene në një menaxhim tjetër sigurie me shumë domene.
  • Migroni një server të menaxhimit të sigurisë për t'u bërë një server i menaxhimit të domenit në një server me shumë domene.
  • Migroni një server të menaxhimit të domenit për t'u bërë një server i menaxhimit të sigurisë.
  • Kthejeni një domen në një server me shumë domene ose një server të menaxhimit të sigurisë në një rishikim të mëparshëm për modifikim të mëtejshëm.

20. SmartTasks dhe API

  • Metoda e re e vërtetimit të API të Menaxhimit që përdor një çelës API të gjeneruar automatikisht.
  • Komandat New Management API për të krijuar objekte grupimi.
  • Vendosja qendrore e akumulatorit dhe korrigjimeve të shpejta Jumbo nga SmartConsole ose me një API lejon instalimin ose përmirësimin e shumë portave dhe grupimeve të sigurisë paralelisht.
  • SmartTasks — Konfiguro skriptet automatike ose kërkesat HTTPS të shkaktuara nga detyrat e administratorit, të tilla si publikimi i një sesioni ose instalimi i një politike.

21. VendosjaVendosja qendrore e akumulatorit dhe korrigjimeve të shpejta Jumbo nga SmartConsole ose me një API lejon instalimin ose përmirësimin e shumë portave dhe grupimeve të sigurisë paralelisht.

22. SmartEventNdani pamjet dhe raportet e SmartView me administratorë të tjerë.

23.Eksportuesi i regjistraveEksporto regjistrat e filtruar sipas vlerave të fushës.

24. Siguria e pikës së fundit

  • Mbështetje për enkriptimin BitLocker për Kriptim të plotë të diskut.
  • Mbështetje për certifikatat e jashtme të Autoritetit të Certifikatës për klientin e Endpoint Security
  • vërtetimi dhe komunikimi me Serverin e Menaxhimit të Sigurisë Endpoint.
  • Mbështetje për madhësinë dinamike të paketave të Klientit të Sigurisë Endpoint bazuar në të zgjedhurit
  • veçoritë për vendosje.
  • Politika tani mund të kontrollojë nivelin e njoftimeve për përdoruesit fundorë.
  • Mbështetje për mjedisin e vazhdueshëm VDI në Menaxhimin e Politikave Endpoint.

Ajo që na pëlqeu më shumë (bazuar në detyrat e klientit)

Siç mund ta shihni, ka shumë risi. Por për ne, sa për integrues i sistemit, ka disa pika shumë interesante (të cilat janë interesante edhe për klientët tanë). Top 10 tona:

  1. Më në fund, është shfaqur mbështetja e plotë për pajisjet IoT. Tashmë është mjaft e vështirë të gjesh një kompani që nuk ka pajisje të tilla.
  2. Inspektimi TLS tani vendoset në një shtresë të veçantë (Layer). Është shumë më i përshtatshëm se tani (në 80.30). Nuk ka më drejtimin e panelit të vjetër Legasy. Plus, tani mund të përdorni objekte të përditësueshme në politikën e inspektimit HTTPS, si shërbimet Office365, Google, Azure, AWS, etj. Kjo është shumë e përshtatshme kur duhet të vendosni përjashtime. Megjithatë, ende nuk ka mbështetje për tls 1.3. Me sa duket ata do të "kapin hapin" me rregullimin e ardhshëm të nxehtë.
  3. Ndryshime të rëndësishme për Anti-Virus dhe SandBlast. Tani mund të kontrolloni protokollet si SCP, SFTP dhe SMBv3 (nga rruga, askush nuk mund ta kontrollojë më këtë protokoll shumëkanalësh).
  4. Ka shumë përmirësime në lidhje me VPN-në Site-to-Site. Tani mund të konfiguroni disa domene VPN në një portë që është pjesë e disa komuniteteve VPN. Është shumë i përshtatshëm dhe shumë më i sigurt. Për më tepër, Check Point më në fund kujtoi VPN-në e bazuar në rrugë dhe përmirësoi pak stabilitetin/përputhshmërinë e tij.
  5. Është shfaqur një veçori shumë e njohur për përdoruesit në distancë. Tani mund të vërtetoni jo vetëm përdoruesin, por edhe pajisjen nga e cila lidhet. Për shembull, ne duam të lejojmë lidhje VPN vetëm nga pajisjet e korporatës. Kjo bëhet, natyrisht, me ndihmën e certifikatave. Është gjithashtu e mundur të montoni automatikisht ndarjet e skedarëve (SMB v2/3) për përdoruesit e largët me një klient VPN.
  6. Ka shumë ndryshime në funksionimin e grupit. Por ndoshta një nga më interesantet është mundësia e funksionimit të një grupi ku portat kanë versione të ndryshme të Gaia. Kjo është e përshtatshme kur planifikoni një përditësim.
  7. Aftësi të përmirësuara Zero Touch. Një gjë e dobishme për ata që shpesh instalojnë porta "të vogla" (për shembull, për ATM).
  8. Për regjistrat, tani mbështetet ruajtja deri në 48 TB.
  9. Ju mund t'i ndani pultet tuaja SmartEvent me administratorë të tjerë.
  10. Log Exporter tani ju lejon të filtroni paraprakisht mesazhet e dërguara duke përdorur fushat e kërkuara. ato. Vetëm regjistrat dhe ngjarjet e nevojshme do të transmetohen në sistemet tuaja SIEM

Update

Ndoshta shumë tashmë po mendojnë për përditësimin. Nuk ka nevojë të nxitoni. Për të filluar, versioni 80.40 duhet të kalojë te Disponueshmëria e Përgjithshme. Por edhe pas kësaj, nuk duhet të përditësoni menjëherë. Është më mirë të presësh për të paktën korrigjimin e parë.
Ndoshta shumë janë "ulur" në versionet më të vjetra. Mund të them që në minimum është tashmë e mundur (dhe madje e nevojshme) të përditësohet në 80.30. Ky është tashmë një sistem i qëndrueshëm dhe i provuar!

Ju gjithashtu mund të abonoheni në faqet tona publike (Telegram, Facebook, VK, TS Zgjidhja Blog), ku mund të ndiqni shfaqjen e materialeve të reja në Check Point dhe produkte të tjera sigurie.

Vetëm përdoruesit e regjistruar mund të marrin pjesë në anketë. Hyni, te lutem

Cilin version të Gaia po përdorni?

  • R77.10

  • R77.30

  • R80.10

  • R80.20

  • R80.30

  • tjetër

13 përdorues votuan. 6 përdorues abstenuan.

Burimi: www.habr.com

Shto një koment